Register van verwerkingsactiviteiten

Elke organisatie die ‘niet incidenteel’ persoonsgegevens verwerkt (lees: elk bedrijf) moet een ‘register van verwerkingsactiviteiten’ bijhouden (art. 30 AVG). Dit begint met het in kaart brengen van de gegevensstromen naar, binnen en vanuit de organisatie.

 

Bepaal dus per categorie van persoonsgegevens waar en hoe ze worden verzameld, waar worden ze opgeslagen en aan wie buiten de organisatie worden ze worden verstrekt.

 

Een spreadsheetprogramma (zoals Excel) is het meest geschikt om een register van verwerkingsactiviteiten in aan te leggen. Het register bevat (samengevat):

 

1.     Naam en contactgegevens van de verwerkingsverantwoordelijke

2.     Beschrijving van de categorieën van betrokkenen wiens persoonsgegevens worden verwerkt bijvoorbeeld: medewerkers, klanten, ex-klanten, leden, contactpersonen

3.     Beschrijving van de categorieën van persoonsgegevens die worden verwerkt

bijvoorbeeld: NAW-gegevens, geboortedatum, contactgegevens (e-mail, telefoonnummer), gezinssamenstelling, financiële bijzonderheden, gezondheidsgegevens, ras/etniciteit, geloofsovertuiging, vrijetijdsbesteding

4.     Beschrijving van doeleinden voor de verwerking, incl. wettelijke grondslag. Oftewel: waarom worden bepaalde categorieën van persoonsgegevens door onze organisatie verwerkt en wat geeft ons daartoe het recht?

bijvoorbeeld: adres- en contactgegevens van klanten worden verwerkt om met de klant te communiceren over de uitvoering van de opdracht (grondslag: uitvoering overeenkomst) en om die personen gericht te kunnen informeren over eventuele andere diensten en producten (grondslag: gerechtvaardigd belang en, waar nodig, toestemming)

bijvoorbeeld: foto’s van leden worden verwerkt ter plaatsing op onze website en/of sociale media-accounts (grondslag: toestemming)

5.     Beschrijving van de categorieën ontvangers aan wie persoonsgegevens zijn of zullen worden verstrekt;

Bijvoorbeeld: zakelijke dienstverleners, overheidsinstanties, financiële instellingen, externe adviseurs, onderaannemers, gelieerde vennootschappen (bij concernverbanden)

6.     Algemene beschrijving van de technische en organisatorische maatregelen die de organisatie heeft genomen om persoonsgegevens die worden verwerkt te beveiligen

7.     Bewaartermijnen van de (categorieën) persoonsgegevens

Bijvoorbeeld: projectdossiers worden na x jaar vernietigd

Bijvoorbeeld: gegevens van ex-medewerkers worden na x jaar vernietigd

8.     Vermelding van verstrekking van persoonsgegevens aan een land buiten de Europese Unie (EER) of aan een internationale organisatie (indien van toepassing)

 

 

 

Onze privacyrechtadvocaten